Как беспалевно скрыть процесс через перехват?
Собственно вопрос в топике - какой существует беспалевный метод перехват апи функций7
- хз что вы имели ввиду. почитайте про dll инъекции. повторябельные статьи в инете есть. от MorskoyZmey, 02 сентября 2012 года
Все это длл инъекции что в инете есть палица
Цитата: artyst1
Все это длл инъекции что в инете есть палица
Слово "палица" в данном контексте для меня не понятно, объясни.
На самом деле палится всё,так что приходится выбирать между функционалом и лёгкостью использования
а ты скакого района парниша?
Проясню что и как палиТСЯ.)
Дело в том, что для скрытия процесса используется перехват Win API функций. Есть 2 варианта реализации - в ring3, т.е.. в режиме пользователя; ring0 - лезем в ядро.
Для реализации первого способа нужно внедрить свой код в процесс, например taskamnager, чтобы через внедренный код перехватывать функции, которые будет вызывать таск менеджер.
Второй способ реализуется через драйвер, но драйвер без ЭЦП палится самой ОС и АВ - выдается предупреждение при его установке, а мне нужно, чтобы никаких сообщений не появлялось.
Цитата: artyst1
драйвер без ЭЦП палится самой ОС и АВ - выдается предупреждение при его установке, а мне нужно, чтобы никаких сообщений не появлялось.
Пффф,копируешь файл в нужную папку,добавляешь ручками в реестр данные,и ничего ОС не выдаёт
Антивирус может заметить,но тут тоже от него самого зависит—какой именно он
А куда надо копировать файл и какие данные добавлять в реестр?
Цитата: artyst1
Всем спасибо за отклики!
Проясню что и как палиТСЯ.)
Дело в том, что для скрытия процесса используется перехват Win API функций. Есть 2 варианта реализации - в ring3, т.е.. в режиме пользователя; ring0 - лезем в ядро.
Для реализации первого способа нужно внедрить свой код в процесс, например taskamnager, чтобы через внедренный код перехватывать функции, которые будет вызывать таск менеджер.
Второй способ реализуется через драйвер, но драйвер без ЭЦП палится самой ОС и АВ - выдается предупреждение при его установке, а мне нужно, чтобы никаких сообщений не появлялось.
Проясню что и как палиТСЯ.)
Дело в том, что для скрытия процесса используется перехват Win API функций. Есть 2 варианта реализации - в ring3, т.е.. в режиме пользователя; ring0 - лезем в ядро.
Для реализации первого способа нужно внедрить свой код в процесс, например taskamnager, чтобы через внедренный код перехватывать функции, которые будет вызывать таск менеджер.
Второй способ реализуется через драйвер, но драйвер без ЭЦП палится самой ОС и АВ - выдается предупреждение при его установке, а мне нужно, чтобы никаких сообщений не появлялось.
Подпиши =^_^=